por Emmanuel Schalit (*)
Enquanto muitos aspetos da nossa vida abrandaram durante a pandemia global, os cibercriminosos não foram dissuadidos de encontrar oportunidades de invadir contas vulneráveis. Infelizmente, enquanto o mundo está a lidar com muitas e difíceis incertezas, pessoas mal-intencionadas continuam a fazer o que podem para se aproveitar da mudança de comportamentos e hábitos online. A boa notícia é que não precisa de ser um diretor de segurança para proteger os seus negócios – e para se proteger a si mesmo. É mais importante do que nunca que os líderes empresariais partilhem as melhores práticas relativas a passwords com os seus colaboradores, para fortalecer a segurança online e a privacidade das suas equipas.
Há mais pessoas a trabalhar a partir de casa e a utilizar os seus dispositivos pessoais para conduzir negócios, abrindo caminho para novas formas de as empresas trabalharem remotamente e com eficiência. Isto criou um influxo de novos aplicativos e de downloads de software para ajudar na transição repentina dos processos de trabalho. De acordo com um inquérito recente efetuado pela Dashlane, a maior parte das pessoas considera que os seus dispositivos de trabalho são mais seguros que os pessoais – e ainda mais pessoas utilizam um dispositivo pessoal para trabalhar desde o início da pandemia da COVID-19. Isto possibilita mais riscos online, seja por maus hábitos relacionados com passwords, como repetição das mesmas em diferentes contas, ou tipos mais complexos de fraude online.
Um tipo de ataque online que tem ressurgido recentemente é o preenchimento de credenciais, que acontece quando os hackers utilizam dados de login roubados em ataques anteriores para automatizar logins em grande escala, com o objetivo de invadir contas. Isto funciona escolhendo um website como alvo e analisando a sequência e os processos de login do mesmo. Um hacker pode criar um script automatizado ou usar um software de preenchimento de credenciais configurável para testar sistematicamente se as credenciais roubadas efetuam login com êxito no website escolhido. Para encobrir a sua atividade, o hacker alugará botnets ou uma lista de endereços IP de proxy para fazer parecer que as tentativas de login foram provenientes de utilizadores reais em vários computadores. Eventualmente, o hacker terá êxito em alguns websites, com algumas credenciais, e poderá assumir o controlo dessas contas e roubar ativos.
Lembra-se das manchetes de “Zoom foi hackeado”? O preenchimento de credenciais foi o culpado. Como os downloads do Zoom aumentaram significativamente - com as pessoas a recorrerem a videoconferências para a maioria das comunicações profissionais e pessoais -, foi relatado que mais de 500 mil contas do Zoom estavam a ser vendidas na dark web devido a violações de dados mais antigas. Uma vez que não existem evidências que nos levem a acreditar no abrandamento dos ciberataques, as empresas devem assumir a responsabilidade e fazer mais e melhor para proteger os utilizadores, mas os colaboradores também se devem sentir capacitados para proteger a empresa, entendendo a importância da sua própria proteção.
Outro problema de segurança atual é o phishing. Recentemente, foi relatado que o Microsoft Teams foi alvo de e-mails de phishing, atingindo quase 50 mil caixas de entrada. Os colaboradores nunca devem clicar num link que conste de um e-mail que não era expectável. E, se acidentalmente se clicar num link de phishing, a password dessa conta ou website deve ser alterada imediatamente.
A melhor forma de proteger contas e dados de preenchimento de credenciais contra ataques de phishing online é parar de reutilizar as mesmas passwords em várias contas. Todas as contas – mas especialmente as relacionadas com trabalho, comércio, finanças e governo – devem ser protegidas com passwords fortes e exclusivas.
Algumas das práticas recomendadas para garantir que os colaboradores estejam mais seguros online incluem:
- Exija passwords fortes: A password ideal tem pelo menos dez caracteres e contém uma sequência aleatória – ou pelo menos incomum – de letras, números e símbolos. Uma password longa e complicada garante que os hackers não terão uma tarefa fácil na tentativa de invadir as contas. A política “Bring Your Own Devices” (BYOD) – em tradução literal: “Traga os seus próprios dispositivos” – ou quando os colaboradores utilizam o mesmo dispositivo em casa e no trabalho, aumentam as possibilidades de contrair malware ou vírus, e os dados locais podem ser facilmente expostos em caso de conexão a redes Wi-Fi públicas. Sem regulamentos formais e esforços abrangentes de formação em segurança cibernética por parte das empresas, é mais provável que os colaboradores levem más práticas relacionadas com passwords e ameaças externas à cibersegurança de casa para o escritório.
- Use um gestor de passwords: Considere utilizar um gestor de passwords, especialmente em dispositivos BYOD, se permitido. Estes gestores eliminam as más práticas relacionadas com passwords no trabalho e em casa, protegendo e criptografando todas as suas passwords e dados armazenados, conectando-o automaticamente aos inúmeros sites e aplicações móveis e preenchendo formulários online com facilidade.
- Ative a autenticação de dois fatores (2FA) imediatamente: Ao adicionar esta etapa extra antes de aceder a um sistema, é altamente improvável que um hacker possa aceder aos seus dados apenas com um ID e uma password de login
Enquanto o mundo se prepara para o que está para vir e esperamos que a vida volte ao normal, é essencial ocupar alguns minutos para fazer um balanço e uma formação simples da equipa e exigir que os colaboradores alterem as suas passwords (nos dispositivos pessoais e profissionais). Procure as melhores práticas e, no mínimo, instrua os colaboradores sobre o perigo da reutilização de passwords. A utilização da mesma password em várias contas deixa as empresas e os seus colaboradores em maior risco de comprometer as contas pessoais e de trabalho, caso ocorra uma violação de dados. É um mau hábito que vale a pena quebrar. Este é o momento de proteger os seus colaboradores em todas as vertentes e fazê-los sentir-se apoiados, e isso inclui a segurança online dos mesmos.
(*), cofundador e CEO da Dashlane
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários